acct 是 Linux 系统中的一个用户活动监控工具,它可以记录用户登录、注销、运行命令等活动
安装 acct:在某些 Linux 发行版上,acct 工具可能需要单独安装。例如,在 Debian 和 Ubuntu 系统上,你可以使用以下命令安装:
sudo apt-get install acct启用 acct:要启用 acct,你需要编辑 /etc/default/acct 文件。将 ACCT_ENABLE=no 更改为 ACCT_ENABLE=yes,然后保存并关闭文件。接下来,重启系统或者运行 sudo systemctl restart acct 以应用更改。
查看用户活动:要查看用户活动,你可以使用 lastcomm 命令。这将显示所有已记录的命令及其运行时间。例如:
lastcomm要查看特定用户的活动,你可以使用 -u 选项,例如:
lastcomm -u username实时监控用户活动:要实时监控用户活动,你可以使用 sa 命令。例如,要查看过去 10 分钟内的用户活动,你可以运行:
sa -m -d -10要查看特定用户的活动,你可以使用 -u 选项,例如:
sa -m -d -10 -u username分析用户活动:要分析用户活动,你可以使用 sar 命令。例如,要查看过去 7 天内的用户活动,你可以运行:
sar -f /var/log/sysstat/sa$(date +%d -d yesterday)要查看特定用户的活动,你可以使用 -u 选项,例如:
sar -f /var/log/sysstat/sa$(date +%d -d yesterday) -u ALL通过这些方法,你可以使用 acct 工具监控 Linux 系统上的用户活动。请注意,这些命令可能因 Linux 发行版而异,因此你可能需要根据你的系统进行调整。
